[2003] Admin account policy vrij maken ?

Je kan containers maken waarbij je de domainpolicy kan toepassen per container.

In die container kan je dan alle gebruikers neerzetten, zodat je de default domain policy ongewijzigd kan laten, zoals je dat normaliter ook doet.

Ook kan in die nieuwe container de verschillende pc's worden ondergebracht, zodat je eigenlijk ook per subgroep systemen kan instellen wat wel mag en wat niet.
bijv: jouw pc mag alles, die laat je gewoon staan, zodat de policys niet worden doorgevoerd.
pc van de andere mag bepaalde dingen niet wijzigen, die zet je in de nieuwe container, zodat deze wijzigingen wel worden doorgevoerd en het systeem naar jouw beveiligings en instellingen worden aangepast.

Zorg dan wel dat niet de bovenliggende policy geldt voor die container.

djluc zegt het kort wat ik ook een klein beetje bedoel

[ Voor 5% gewijzigd door Vorkie op 08-03-2006 23:36 ]

Blijf van je default domain policy af! Alleen policies zelf aanmaken op OU's. Dat is veel handiger!

wd200 schreef op woensdag 08 maart 2006 @ 23:36:
[...]


ja maar elke OU moet dezelfde policy hebben is deze kopieer baar ?

hoe wil je alles nou hetzelfde houden als je de administrator account niet dezelfde instellingen wil laten hebben. Dus alles.

Dan kan je beter een nieuwe container maken en zorgen dat alleen administrator in de oude achter blijft, de rest zet je dan wel over in die andere container met dezelfde policy's, dan kan je wel aanmelden met administrator en voert hij alleen de policý;s uit waar de administrator instaat.


ik zet hem ffies in me todo dit topic, zal morgen eens kijken of ik het wat uitgebreider voor je kan neerzetten

Als boven en beneden dezelfde policy's hebben, kan je deze gewoon in 1 OU zetten, en de administrator + jezelf in de default, zodat je nergens geen aangepaste policy's hebt.

[ Voor 22% gewijzigd door Vorkie op 08-03-2006 23:45 ]

wd200 schreef op woensdag 08 maart 2006 @ 23:41:
OU 1 +2 in een container plaatsen en op die container de policy's zetten is dat de oplossing ?

Je kunt gewoon 1 policy maken en die aan meerdere OU's linken. Dus wel aan OU 1+2 maar niet aan 3. Dat is de beste oplossing.
Bovendien kun je een policy ook gewoon kopieren en daarna de kopie weer aanpassen zodat je beide versies aan verschillende OU's kunt koppelen. En zoals al gezegd kun je veel beter van je default domain policy afblijven. Het is namelijk niet ondenkbaar dat je daarmee je default policy verknalt en dat zou niet handig zijn.

Denk dat je met gpmc, te downloaden op de Microsoft website, een stuk beter inzicht krijgt van wat policies allemaal voor je kunnen betekenen Je kan ze ook nog op computers, users, groepen filteren binnen OU's. Verder is een GPO-object altijd globaal, en is het van toepassing zijn op een bepaald punt in de AD hierarchie slechts een link, een soort snelkoppeling, naar het originele object. De policies worden opgeslagen in AD-map:\SYSVOL\sysvol\domain.local\Policies\
Ideale situatie is zoals hierboven al aangeven de users en computers zoveel mogelijk in OU's zetten in logische groeperingen en daarover de policies uitrollen. Je merkt tenslotte nu al dat het niet goed werkt met links op domeinniveau

Ik zou me trouwens naast bovenstaande GPMC verhaal ook verdiepen in je OU structuur, immers had je dit gedonder niet gehad met een nested OU structuur.

[ Voor 4% gewijzigd door alt-92 op 09-03-2006 00:35 ]

Bij mijn weten krijgen administrators default niet eens een policy omdat bij deze groep het vinkje "apply policy" uit staat. Je kan dus ook een policy maken en dan voor admins het vinkje "deny policy" aan zetten

gewoon administrator deny rechten geven op policy
die vind je bij de eigenschappen / security van de desbetreffende policy.

Grolsch schreef op donderdag 09 maart 2006 @ 10:06:
gewoon administrator deny rechten geven op policy
die vind je bij de eigenschappen / security van de desbetreffende policy.

Ik heb het zelf nooit uitgetest, dus ik kan ernaast zitten, maar is het niet zo dat de admin dan ook de policy niet meer kan aanpassen

Nee, sowieso kan een administrator altijd weer de ownership nemen.

wd200 schreef op woensdag 08 maart 2006 @ 23:36:
[...]


ja maar elke OU moet dezelfde policy hebben is deze kopieer baar ?

je maakt geen policy in/aan een OU. je maakt een policy in AD en linked deze aan een OU. en ja die kan je dus ook aan meerdere OU's linken

/downtime/ schreef op donderdag 09 maart 2006 @ 10:11:
[...]

Ik heb het zelf nooit uitgetest, dus ik kan ernaast zitten, maar is het niet zo dat de admin dan ook de policy niet meer kan aanpassen

ik zal iets specifieker zijn, administrator account deny rechten geven op "apply policy" kopje

Grolsch schreef op donderdag 09 maart 2006 @ 18:45:
[...]


ik zal iets specifieker zijn, administrator account deny rechten geven op "apply policy" kopje

http://support.microsoft.com/kb/816100 bedoel je dus denk ik.

Wat /downtime/ zal bedoelen is: http://support.microsoft.com/kb/325351